למרות המאמצים הטובים ביותר של ארגון לייצר שירות שפועל ללא דופי ובטוח, באגים בתוכנה יכולים להתרחש, וחלקם רציניים יותר מאחרים.


לעיתים באגים אלה יכולים להימחק מאיתנו אפילו על ידי צוותי האבטחה המנוסים ביותר, דבר שעלול לגרום למוצר המסכן את האבטחה הדיגיטלית של המשתמשים שלו ומשאיר אותם חשופים להתקפות סייבר. חברות רבות הקימו תוכניות לביצועי באג כדי לגייס חוקרי אבטחת סייבר כדי לעזור להם לאתר נקודות תורפה שעלולות אורב שלא זוהו במערכות שלהם.

בעיקרו של דבר, החוקר נוקב (מבחינה אתית) במערכת הספק כדי לנסות ולנצל את כל הפגיעויות הקיימות. אם החוקר מגלה פגיעות המהווה סיכון מספיק משמעותי, החוקר יכול לאסוף שובר באגים בשווי מאות דולרים, או אפילו מאות אלפי דולרים, תלוי בחומרתו של הבאג שהתגלה. ציידי שושני באגים מתנהגים לעתים קרובות כגיבורי הביטחון הקיברנטי שלא הוחזקו באחריות לארגונים על אחריותם להבטיח את הביטחון הדיגיטלי של הצרכנים.

אולם מה קורה כאשר ארגון לא מסכים עם חוקר אבטחת הרשת בנוגע לחומרת הפגיעות שגילה החוקר? מה קורה כאשר ארגון מנסה להימנע מאחריות על ידי איסור על החוקר לחשוף בפומבי את ממצאיו, או רק מסכים לשלם שובר באגים בתנאי שהחוקר שותק בפומבי בקשר לפגיעות? כאשר זה קורה, ניתן לסכן את האבטחה הדיגיטלית של הצרכנים ופרטיותם האישית.

תוכניות באונטי באג חיוניות לשמירה על מערכות שמפעילות את התוכנה והיישומים בהם משתמשים הצרכנים בכל יום מאובטחות ופועלות כראוי. הם ממריצים חוקרי אבטחת סייבר והאקרים אתיים לעלות על פניהם ולמצוא פגיעויות. זה הגיוני כי דרישה של ציידי שושני באגים לחתום על הסכם אי-גילוי (NDA) היא גם דרך חשובה ויעילה למנוע חשיפה של פגיעויות שעלולות להיות חמורות בפומבי וניצולן לפני שהם טופאים..

עם זאת, הוראות ה- NDA המונעות מחוקר לחשוף בפומבי את הפגיעות באופן פומבי עשויות, למשל, לספק תמריץ מועט לחברה להתמודד כראוי עם התקלה, ולהשאיר משתמשים חשופים לסכנות סייבר שונות.

חוקרי אבטחה וציידי שואבי באגים מבצעים עבודה נהדרת באחריות של חברות לאחריות על שמירה על בטחונם ועל משתמשיהם. אך כאשר חברות עוסקות בטקטיקות NDA מפוקפקות עם חוקרי אבטחה כדי לחצא אחריות זו, ניתן להסתכן באבטחת משתמשים.

לאור הגל האחרון של הפרות נתונים בעלות פרופיל גבוה וביקורות אבטחה משמעותיות בהן מעורבים כמה מהשמות הגדולים בתחום הטכנולוגי, מגיע לציבור אחריות רבה יותר מהחברות שהן מפקידות על המידע שלהן. מחוקקים בכל רחבי העולם החלו לפצח את הענף וניסחו חקיקה שמטרתה להגן על צרכנים תוך מתן אחריות לחברות טכנולוגיה באשר לאופן הטיפול שלהן בנתונים רגישים. בכירי התעשייה כמו מארק צוקרברג של פייסבוק, ביל גייטס של מיקרוסופט, וטים קוק של אפל, כולם הכירו בצורך בהגנה טובה יותר על פרטיות הצרכנים וכן בתחושת האחריות הגדולה יותר לחברות. במקביל, הצרכנים הפכו לאמונים יותר ויותר כלפי האופן שבו חברות מנהלות את הנתונים הפרטיים שלהן.

בהתחשב במגמה זו, הטיפול בזום בחשיפה האחראית של חוקר אבטחת סייבר בכמה פגיעויות חמורות ביישום ועידת הווידיאו שלה מבלבל. בחודש מרץ, חוקר האבטחה ברשת, ג'ונתן לייטשו, פנה לזום כדי להודיע ​​לחברה על שלוש פגיעויות אבטחה מרכזיות הקיימות ביישום ועידת הווידיאו שלה למחשבי מק. בנוסף לבאג שאיפשר לתוקף זדוני לפתוח התקפת מניעת שירות (DOS) במכונה של משתמש, ובאג שהשאיר שרת אינטרנט מקומי מותקן במחשבי ה- Mac של המשתמש גם לאחר הסרת התקנת אפליקציית Zoom, Leitschuh חשף גם פגיעות מדאיגה מאוד שאפשרה לגוף צד שלישי זדוני לאפשר מרחוק ואוטומטי מיקרופון ומצלמה של משתמש מק מחשבי.

על פי פוסט הבלוג של Leitschuh זום הגדיר באופן רציף את חומרת הפגיעויות במהלך שיחות מתמשכות. Leitschuh העניק לזום חלון בן 90 יום סטנדרטי בתעשייה בו ניתן לפתור את הסוגיות לפני שתמשיך בחשיפה ציבורית. הוא אפילו סיפק לזום את מה שכינה פיתרון "תיקון מהיר" כדי לתקן באופן זמני את פגיעות המצלמה בזמן שהחברה סיימה לעבוד על הפצת התיקון הקבוע. במהלך פגישה שקדמה למועד הגילוי הציבורי בן 90 יום, הציגה זום לייטשו את התיקון המוצע שלה. עם זאת, החוקר מיהר לציין כי הפיתרון המוצע אינו מספק וניתן בקלות לעקוף אותו באמצעים שונים.

בתום מועד הגילוי הציבורי בן 90 יום, מימשה זום את פיתרון ה"תיקון המהיר "הזמני. לייטשו כתב בפוסט הבלוג שלו:

"בסופו של דבר, Zoom לא הצליחה לאשר במהירות שהפגיעות המדווחת אכן הייתה קיימת והם לא הצליחו לתקן את הבעיה לפני שהועבר ללקוחות במועד. ארגון של פרופיל זה ועם בסיס משתמשים כה גדול היה צריך להיות פעיל יותר בהגנה על המשתמשים שלהם מפני התקפה."

בתגובתה הראשונית לגילוי הציבור בבלוג של החברה, זום סירבה להכיר בחומרת הפגיעות בסרטון ו"בסופו של דבר ... החליטה לא לשנות את הפונקציונליות של היישום. "אם כי (רק לאחר שקיבלה פגיעה משמעותית בציבור בעקבות הגילוי) זום אכן הסכים להסיר לחלוטין את שרת האינטרנט המקומי שאיפשר את הניצול, התגובה הראשונית של החברה יחד עם חשבונותיו של לייטשו על האופן בו זום בחר להתייחס לחשיפתו האחראית מגלה כי זום לא התייחס לסוגיה ברצינות, ולא היה לה עניין רב בפתרון נכון זה.

שמור על שקט

זום ניסה לקנות את שתיקתו של Leitschuh בנושא בכך שאיפשר לו ליהנות מתוכנית השפע הבאגית של החברה רק בתנאי שהוא חתם על NDA קפדני מדי. לייטשו סירב להצעה. זום טען כי הוצע לחוקר הנכס כספי אך דחה זאת בגלל "תנאי אי-גילוי". מה שזום לא הזניח להזכיר הוא שהתנאים הספציפיים שפירשו שלייטשו נאסרו לחשוף את הפגיעויות גם לאחר שתוקנו כראוי. זה היה נותן זום אפס תמריץ לתקן פגיעות שהחברה פיטרה כלא חשובה.

מכשירי NDA הם נוהגים בתכניות של שפע באגים, אך דרישת שתיקה קבועה מצד החוקר דומה לתשלום כסף שופך ובסופו של דבר לא מועיל לחוקר, וגם לא מועיל למשתמשים או לציבור בכלל. תפקידה של ה- NDA צריך להיות לתת לחברה זמן סביר להתייחס ולתקן פגיעות לפני שהיא נחשפת לציבור ומנוצלת על ידי פושעי סייבר. לחברות יש ציפייה סבירה לאי-גילוי נאות בעת העבודה על מנת לתקן פגיעות, אך בעיקר לטובת המשתמש, ולא בעיקר כדי לחסוך פנים בבית המשפט של דעת הקהל. לחוקרים, לעומת זאת, יש ציפייה סבירה לתגמול כספי, כמו גם להכרה ציבורית במאמציהם. למשתמשים יש ציפייה סבירה שהחברות שמוצריהן הם משתמשים עושה כל שביכולתן כדי להבטיח את פרטיותן. לבסוף, לציבור יש זכות סבירה לדעת אילו פגיעויות אבטחה קיימות ומה נעשה כדי להגן על צרכנים מפני איומי סייבר, ומה הצרכנים יכולים לעשות כדי להגן על עצמם.

סדר עדיפויות

זום היה קשה להתמודד עם המצב הזה בצורה גרועה מכפי שהיה. החברה הייתה כל כך ממוקדת ביצירת חווית משתמש חלקה עד שהיא איבדה לחלוטין את החשיבות הקריטית בהגנה על פרטיות המשתמשים. "הווידיאו הוא מרכזי בחוויית הזום. פלטפורמת הווידיאו הראשונה שלנו מהווה יתרון מרכזי למשתמשים שלנו ברחבי העולם, ולקוחותינו אמרו לנו שהם בוחרים זום עבור חווית התקשורת הווידיאו חסרת החיכוך שלנו, "הצהירה החברה בתגובה. עם זאת, זום נקטה בהתקנת שרת אינטרנט מקומי ברקע במחשבי מק שעקף את תכונת האבטחה בדפדפן האינטרנט של ספארי באופן יעיל כדי להקל על חוויית הווידיאו ה"חסרת חיכוך "זו למשתמשים. תכונת האבטחה של Safari המדוברת חייבה אישור משתמש לפני הפעלת האפליקציה ב- Mac. הפיתרון של זום לכך היה לעקוף אותה בכוונה ולהעמיד את פרטיות המשתמשים בסכנה כדי לחסוך מהם קליק או שניים.

רק לאחר הפיגוע הציבורי שקיבלה בעקבות הגילוי נקטה החברה בפעולה משמעותית. בתגובה הראשונית של החברה עולה כי אין בכוונתה לשנות את הפונקציונליות של היישום גם לאור הפגיעויות המשמעותיות שהאפליקציה טענה בה. נראה כי החברה הייתה מוכנה לתעדף חוויית משתמש על פני אבטחת משתמשים. למרות שחווית משתמש חלקה מועילה ללא ספק לכל יישום מקוון, היא בהחלט לא צריכה לבוא על חשבון האבטחה והפרטיות.

לזכותה של החברה, מייסד-המנכ"ל והמנכ"ל אריק ס. יואן הודה בהמשך כי זום טיפל במצב גרוע והתחייב לעשות טוב יותר קדימה. יואן הצהיר בפוסט בבלוג כי "הערכנו לא נכון את המצב ולא הגבנו מספיק מהר - וזה עלינו. אנו לוקחים בעלות מלאה ולמדנו המון. מה שאני יכול לומר לכם הוא שאנחנו לוקחים את אבטחת המשתמשים בצורה רצינית להפליא ואנחנו מחויבים בלב שלם לעשות זאת ממש על ידי המשתמשים שלנו, "והוסיפו גם כי" תהליך ההסלמה הנוכחי שלנו בבירור לא היה מספיק טוב במקרה זה. נקטנו צעדים לשיפור התהליך שלנו לקבלת, הסלמה וסגירת הלולאה בכל הדאגות הקשורות בעתיד בנושא אבטחה. "

"הערכנו לא נכון את המצב ולא הגבנו מספיק מהר - וזה עלינו.

אולם בסופו של דבר, נותרו המציאות שהחוקר הסכים לתנאי ה- NDA שהוצגה בפני זום בפניו ונאסר עליו לחשוף את ממצאיו, סביר להניח שלא היינו יכולים לשמוע דבר על הפגיעות. גרוע מכך, סביר להניח כי החברה מעולם לא תוכל לתקן את הבעיה, ולהשאיר מיליוני משתמשים פגיעים לפלישה קשה לפרטיות.

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me